Enjeux de la fonction clé d’audit interne
La fonction d’audit interne occupe un rôle central au sein des organisations en participant au renforcement des processus opérationnels, au respect des lois et règlements et à l’amélioration des processus de prises de décisions. Compte-tenu de ce rôle central, la fonction d’audit interne, au même titre que les organisations, évolue dans un contexte volatil, incertain et complexe marqué par des évolutions réglementaires, environnementales, sociétales et technologiques majeures.
Alors que le Conseil1 se mobilise pour adresser ces différents enjeux, la nécessité pour l’audit interne d’aller au-delà de son rôle traditionnel d’assurance en se positionnant comme « advisor » (conseiller) stratégique est plus que jamais d’actualité. Ainsi, afin d’améliorer et maximiser leur impact et la valeur qu’elle apporte à l’entreprise, la fonction d’audit interne doit faire preuve de résilience, d’adaptabilité et de créativité.
Conscient de ces enjeux, l’Institute of Internal Auditors (IIA) a travaillé sur la refonte des normes professionnelles d’audit datant de 2017. Ces nouvelles normes publiées le 9 janvier 2024 et effectives à compter du 1er janvier 2025 visent à accompagner l’ensemble des fonctions d’audit interne et les organisations (incluant notamment le secteur public et les structures de petites tailles) pour s’adapter à cet environnement complexe.
Nota
Ces normes internationales d’audit interne (« les normes ») font partie du CRIPP (Cadre de référence international des pratiques professionnelles) qui comprend également :
- Des exigences thématiques (obligatoires)² liées à des thèmes particuliers d’audit conçues pour renforcer la cohérence et la qualité des services d’audit. Lorsque l’un des thèmes ciblés entre dans le périmètre d’une mission, les auditeurs internes doivent se conformer aux exigences s’y rapportant.
- Des lignes directrices internationales (complémentaires), en soutien des normes, qui fournissent des informations, des conseils et des bonnes pratiques pour la réalisation des services d’audit interne. Quelques exemples de sujets : service d’assurance et de conseil, services financiers, développement durable.
Le nouveau cadre présente une nouvelle structuration qui facilite l’appropriation et la mise en perspective des différentes composantes de la norme, plus particulièrement :
- Les principes de normes de qualification (1000 à 1322) et de normes de fonctionnement (2000 à 2600) sont supprimés au profit de 5 domaines comprenant 15 principes ;
- Les principes sont détaillés de manière à distinguer clairement ce qui relève (i) d’une exigence (« requirements ») (ii) d’une bonne pratique de mise en œuvre (« considerations for implementation ») (iii) d’éléments de preuve permettant de démontrer la bonne mis en œuvre des exigences (« examples of evidence of conformance ») ;
- Enfin, les 5 domaines sont structurés par destinataire (auditeurs internes, responsable audit interne, conseil). Cela permet une identification claire des principaux acteurs du dispositif et de leurs responsabilités vis-à-vis des exigences.
De manière générale, ce nouveau cadre s’appuie largement sur les fondements de la norme de 2017 qui ont toutefois été développés en fournissant notamment davantage d’éléments méthodologiques et opérationnels. Parmi les différents points intégrés ou développés dans ce nouveau cadre, certains ont particulièrement retenu notre attention :
- Le rôle de l’audit interne dans la poursuite de l’intérêt général : les fondamentaux définis par les nouvelles normes positionnent la fonction d’audit interne au-delà des risques traditionnels de l’organisation en réaffirmant l’importance pour les organisations d’être alignées avec toutes les parties prenantes internes et externes d'une organisation (notamment la société civile) et le rôle que l’audit doit jouer dans ce cadre (notamment en fournissant une assurance sur le respect des lois et/ou règlements ou encore sur la culture de l’éthique) ;
- L’intégrité et le courage professionnel : l’intégrité était déjà un principe clé exposé dans le code de déontologie de 2017, celui-ci est repris dans ce nouveau cadre mais en étant particulièrement développé notamment au travers d’une exigence d’honnêteté et de courage professionnel. Cette notion de courage professionnel met implicitement en avant les situations délicates que peuvent rencontrer les auditeurs dans le cadre de leurs travaux (points de vue opposés, identification d’éléments sensibles pour l’organisation, etc.). Pour prendre en compte cette exigence, les normes recommandent que les auditeurs soient formés de manière adéquate (sur l’éthique par exemple) et qu’ils bénéficient d’une supervision adaptée ;
- L’implication du conseil et de la direction générale, une « condition indispensable » : un domaine complet est désormais dédié à la gouvernance de la fonction d’audit interne (domaine III) et celui-ci met précisément en avant l’importance de la collaboration entre le responsable de l’audit interne et le conseil. Toutefois, au-delà de cette proximité et les échanges réguliers, ce nouveau cadre insiste sur le « soutien » que doit apporter le conseil à la fonction d’audit interne et sa responsabilité dans l’efficacité du dispositif. En ce sens, le conseil doit « manifester son soutien » par différents biais : en approuvant la charge, le plan et les ressources de l’audit interne ou encore en rencontrant la fonction d’audit interne dans le cadre de « têtes à tête » (sans la présence de la direction générale) ;
- La performance de l’audit interne au-delà du respect des normes : les précédentes normes prévoyaient déjà « une surveillance continue de la performance de l’audit interne » via les évaluations internes, néanmoins, ce nouveau cadre insiste sur la performance de l’audit interne au-delà du respect des exigences contenues dans les normes. En effet, le responsable de l’audit interne doit être en mesure d’évaluer la performance selon des objectifs définis qui prennent en compte, entre autres, les attentes des parties prenantes, la portée des résultats d’audit sur l’organisation ou encore l’efficience du dispositif.
Ces nouvelles normes sont un réel apport pour les responsables de la fonction d’audit qui vont pouvoir exploiter ce cadre afin de prendre du recul sur le dispositif existant et identifier les actions à mettre en œuvre pour répondre aux nouveaux enjeux de l’audit.
Plus précisément, ces normes représentent bien plus qu’un recueil d’exigences comme cela pouvait être le cas avec les précédentes normes. En effet, elles ont le mérite de préciser de manière détaillée pour chaque exigence les attentes opérationnelles et de partager des bonnes pratiques de mise en œuvre et les éléments de preuve. A titre d’illustration :
- Les différentes problématiques liées à l’établissement d’un plan d’audit telles que la périodicité de mise à jour, la couverture de l’organisation ou encore la bonne identification des risques sont prises en compte et plusieurs pratiques sont proposées pour y répondre (e.g. définition d’un univers d’audit, évaluation continue des risques, prise en compte des changements significatifs etc.) ;
- Une section dédiée à l’acceptation des risques est intégrée et propose notamment des bonnes pratiques en cas de désaccord entre la fonction d’audit et une direction sur l’acceptation d’un risque (e.g. échanger avec le conseil sur sa position par rapport au niveau de risque) ;
- La mise en place d’outils, notamment technologiques est prise en compte dans de nombreuses exigences et permet de visualiser facilement comment les fonctions d’audit peuvent exploiter les nouvelles technologies pour améliorer leur dispositif ;
Toutefois, si ces normes ont le mérite d’être particulièrement complètes et détaillées, elles nécessiteront un important travail d’analyse et d’appropriation pour les organisations qui souhaitent s'y conformer. Ce travail sera d’autant plus important pour les petites structures qui souhaitent suivre ces normes et qui qui disposent parfois de ressources limitées. Toutefois, pour prendre en compte ces éventuelles difficultés, le cadre met en avant deux principes structurants :
- Une organisation et des mesures différentes, autres que celles exigées/préconisées par les normes peuvent être mises en œuvre dans certains cas de figure dans la mesure où celles-ci respectent l’esprit de la norme. La mise en œuvre de ces mesures alternatives devra toutefois être expliquée et consignée.
- Pour les petites structures ne disposant que d’une seule personne dédiée à l’audit interne, les normes requièrent l’intervention d’une aide extérieure pour mettre en œuvre un programme d’assurance et d’amélioration de la qualité adéquat.
En conclusion, nous notons que si l’évolution du cadre ne vient pas révolutionner les fondements de l’audit interne et la manière dont celui-ci doit être mis en œuvre, ce dernier permet néanmoins de préciser et recentrer ces fondements dans le contexte actuel en développant de nombreux principes qui n’étaient jusqu’ici que brièvement abordés. Ces nouvelles normes d’audit représentent donc une opportunité pour les fonctions d’audit de réévaluer leur dispositif (une réévaluation externe à minima tous les 5 ans est notamment requise par les normes) et de s’interroger sur sa transformation pour réaffirmer (ou affirmer) le rôle clé de la fonction d'audit interne dans l’atteinte des objectifs stratégiques d’une organisation.
1 Conseil : niveau le plus élevé d’un organe en charge de la gouvernance, par exemple :
- Un conseil d’administration ou un comité ou tout autre organe auquel le conseil d’administration a délégué certaines de ses fonctions (par exemple, un comité d’audit)
- Un conseil de surveillance (non-exécutif) au sein d’une organisation qui compte au moins deux organes de gouvernance
- Un conseil des gouverneurs ou d’administrateurs d’organismes sans but lucratif
- Un groupe d’élus ou de responsables politiques
Si un tel Conseil n’existe pas, le mot « Conseil » désigne alors un groupe ou une personne en charge de la gouvernance d’une organisation (par exemple, certaines entités du secteur public et des organisations de petite taille du secteur privé peuvent compter sur la personne à la tête de l’organisation ou la direction générale pour agir en tant qu’organe de gouvernance de niveau le plus élevé).
² La conformité au CRIPP n’est pas obligatoire pour directions d’audit interne bien qu’il s’agisse du cadre de références en la matière.
3 Le code de déontologie auparavant séparé des normes 2017 fait désormais partie intégrante des normes avec un domaine dédié (domaine II : éthique et professionnalisme).